Uwierzytelnianie dwuskładnikowe (2FA)

Wycieki danych logowania zdarzają się dziś regularnie i obejmują miliony kont. Hasło można nam też wykraść, nie łamiąc go. Wystarczy, że wpiszemy je na podstawionej stronie logowania, podszywającej się pod bank czy popularny serwis. Z tego powodu nawet najsilniejsze hasło samo w sobie przestało wystarczać do ochrony konta.

Rozwiązaniem, które realnie utrudnia przejęcie konta, jest uwierzytelnianie dwuskładnikowe, w skrócie 2FA, a w szerszym ujęciu uwierzytelnianie wieloskładnikowe, czyli MFA. Polega na tym, że obok hasła podajemy jeszcze jeden, niezależny dowód tożsamości, najczęściej coś, co mamy fizycznie przy sobie, na przykład telefon z aplikacją uwierzytelniającą albo fizyczny klucz bezpieczeństwa. Nawet jeśli ktoś pozna nasze hasło, bez tego drugiego elementu i tak się nie zaloguje.

Kody SMS to najprostsza opcja, ale i najsłabsza. Przestępcy potrafią przejąć cudzy numer, wyrabiając duplikat karty SIM (tzw. SIM swapping), a wiadomość bywa przechwytywana. Lepszym wyborem są aplikacje uwierzytelniające, takie jak Google Authenticator czy Microsoft Authenticator, które generują w telefonie kody zmieniające się co kilkadziesiąt sekund. Działają bez zasięgu, a kod nigdzie nie jest przesyłany. Najwyższy poziom dają klucze sprzętowe oraz klucze dostępu (passkeys), odporne na phishing, bo działają wyłącznie na prawdziwej stronie danej usługi.

Czytaj więcej Uwierzytelnianie dwuskładnikowe (2FA)

Cyfrowe konie trojańskie: Bezpieczeństwo wtyczek do przeglądarek

Rozszerzenia przeglądarek (Chrome, Edge, Firefox) stały się nieodłącznym elementem naszej pracy i rozrywki. Oferują blokowanie reklam, sprawdzanie pisowni czy pobieranie filmów z mediów społecznościowych. Jednak za darmową funkcjonalnością często kryje się podwyższone ryzyko dotyczące bezpieczeństwa naszych danych.

Mechanizm zagrożenia: Od „użyteczności” do szpiegowania

Większość złośliwych rozszerzeń stosuje strategię „uśpionego agenta”. Początkowo wtyczka działa uczciwie, budując zaufanie i bazę użytkowników. W pewnym momencie (np. po zakupie rozszerzenia przez nieznany podmiot od pierwotnego twórcy) zostaje wydana aktualizacja zawierająca złośliwy kod.

W przypadku wtyczek do TikToka i Instagrama, zagrożenie często przybiera formę kampanii takich jak StealTok. Tego typu złośliwe programy mogą:

  • Wstrzykiwać reklamy w wyniki wyszukiwania.
  • Przechwytywać pliki cookie, co pozwala na przejęcie aktywnych sesji logowania (np. do bankowości czy social mediów) bez znajomości hasła.
  • Śledzić historię przeglądania, tworząc szczegółowy profil marketingowy lub szantażowy.

Czytaj więcej Cyfrowe konie trojańskie: Bezpieczeństwo wtyczek do przeglądarek

Kampania oszustw w aplikacji mObywatel

Na początku maja 2026 roku pojawiła się nowa, wyjątkowo sprytna kampania oszustw wymierzona w użytkowników aplikacji mObywatel. Warto poznać mechanizm tego ataku, bo na pierwszy rzut oka jest on naprawdę trudny do rozpoznania.

Przestępcy rozsyłają SMS-y z nadpisem „mObywatel”, czyli dokładnie tą samą nazwą, którą posługuje się oficjalny rządowy system. Fałszywa wiadomość trafia do tego samego wątku, w którym wcześniej znajdowały się prawdziwe SMS-y od rządowej usługi, co znacznie podnosi jej wiarygodność. Dla osoby, która wcześniej otrzymywała autentyczne powiadomienia od mObywatela, obie wiadomości wyglądają identycznie.

Czytaj więcej Kampania oszustw w aplikacji mObywatel

Kampanie phishingowe- jak działają i dlaczego wciąż działają na ludzi

Phishing nie jest niczym nowym. Pierwsze ataki tego typu odnotowano jeszcze w latach 90. Od tamtej pory minęły dekady, a metoda wciąż jest jednym z najpopularniejszych narzędzi cyberprzestępców. Nie dlatego, że jest szczególnie wyrafinowana technicznie, ale dlatego, że działa. Warto zrozumieć, na czym polega jej skuteczność, zanim trafi się na wiadomość, która wygląda jak każda inna. Phishing to atak polegający na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia danych – najczęściej loginów, haseł, danych karty płatniczej lub nakłonienia ofiary do przelania pieniędzy. Najczęściej odbywa się przez e-mail, ale coraz częściej przestępcy korzystają też z SMS-ów (tzw. smishing) oraz połączeń głosowych (vishing). Kanał jest drugorzędny – mechanizm zawsze ten sam: nadawca udaje kogoś, kim nie jest, a treść wiadomości ma skłonić odbiorcę do konkretnego działania, najczęściej kliknięcia w link lub podania danych.

Czytaj więcej Kampanie phishingowe- jak działają i dlaczego wciąż działają na ludzi

Nowa fala złośliwych CAPTCHA – rosnące zagrożenie dla użytkowników i instytucji publicznych

W ostatnich miesiącach obserwuje się wyraźny wzrost liczby kampanii wykorzystujących tzw. złośliwe CAPTCHA. Mechanizm ten, dotychczas kojarzony z ochroną stron internetowych przed botami, stał się narzędziem skutecznej inżynierii społecznej, prowadzącej do infekcji komputerów użytkowników.

Jednym z głośniejszych przypadków w Polsce był incydent związany ze stroną gminy Długołęka. Jak opisano, użytkownik odwiedzający witrynę był proszony o standardowe potwierdzenie „nie jestem robotem”. Po kliknięciu checkboxa pojawiały się jednak nietypowe instrukcje, które prowadziły do uruchomienia złośliwego polecenia w systemie Windows. Co istotne, strona wcześniej umieszczała odpowiedni kod w schowku systemowym, a użytkownik nieświadomie wykonywał go samodzielnie, infekując komputer.

Mechanizm ten wpisuje się w szerszy trend opisywany przez ekspertów ds. cyberbezpieczeństwa. Fałszywe strony CAPTCHA coraz częściej wykorzystują technikę przejmowania schowka (clipboard hijacking). Atak polega na tym, że witryna automatycznie kopiuje do schowka złośliwe polecenie, a następnie instruuje użytkownika, aby wkleił je i uruchomił najczęściej poprzez kombinację klawiszy Win+R i Ctrl+V.

Czytaj więcej Nowa fala złośliwych CAPTCHA – rosnące zagrożenie dla użytkowników i instytucji publicznych

Cyberbezpieczna Wielkanoc

Cyberbezpieczna Wielkanoc to temat, który zyskuje na znaczeniu w świecie coraz bardziej zależnym od technologii i internetu. Święta wielkanocne kojarzą się przede wszystkim z odpoczynkiem, spotkaniami rodzinnymi oraz przygotowaniami, które coraz częściej realizujemy online robimy zakupy w sklepach internetowych, zamawiamy prezenty, dekoracje czy produkty spożywcze, a także korzystamy z bankowości elektronicznej.

Niestety, ten wzmożony ruch w sieci przyciąga również cyberprzestępców, którzy wykorzystują naszą nieuwagę, pośpiech oraz świąteczną atmosferę do przeprowadzania ataków takich jak phishing, oszustwa zakupowe czy wyłudzanie danych. W tym okresie szczególnie popularne są fałszywe wiadomości e-mail i SMS podszywające się pod firmy kurierskie, banki lub sklepy internetowe, w których przestępcy informują o rzekomych problemach z dostawą paczki, konieczności dopłaty niewielkiej kwoty lub wyjątkowych promocjach świątecznych, kliknięcie w link zawarty w takiej wiadomości może prowadzić do utraty danych logowania lub pieniędzy.

Czytaj więcej Cyberbezpieczna Wielkanoc

Weryfikacja wieku w Europie: czy ochrona dzieci będzie kosztem naszej prywatności?

Wprowadzenie obowiązkowej weryfikacji wieku w europejskiej przestrzeni cyfrowej to jeden z najbardziej kontrowersyjnych procesów legislacyjnych ostatnich lat. Stoimy przed fundamentalnym dylematem współczesnego Internetu: jak skutecznie chronić dzieci przed szkodliwymi treściami, nie zamieniając sieci w przestrzeń stałego nadzoru nad dorosłymi? Choć intencje ustawodawców wydają się słuszne, diabeł tkwi w szczegółach technicznych, które mogą na zawsze zmienić koncepcję prywatności w sieci.

Największym ryzykiem związanym z nowymi przepisami jest konieczność udostępnienia platformom danych, których wcześniej nie potrzebowały. Przez lata większość aplikacji opierała się na deklarowanym wieku użytkownika, ale nadchodzące przepisy wymagają tzw. twardej weryfikacji. W praktyce może to oznaczać wysyłanie skanów dokumentów tożsamości bezpośrednio do baz danych firm komercyjnych, wykorzystywanie biometrii twarzy opartej na algorytmach sztucznej inteligencji lub integrację kont w mediach społecznościowych z rządowymi systemami identyfikacji, takimi jak mObywatel. Każde takie gromadzenie informacji automatycznie staje się celem cyberprzestępców, a potencjalny wyciek z popularnej platformy może skutkować masową kradzieżą tożsamości na niespotykaną dotąd skalę.

Czytaj więcej Weryfikacja wieku w Europie: czy ochrona dzieci będzie kosztem naszej prywatności?

Uwaga na oszustów podszywających się pod platformy streamingowe

Cyberprzestępcy coraz częściej wykorzystują popularność platform streamingowych do przeprowadzania kampanii phishingowych. Fałszywe wiadomości e-mail lub SMS informują o rzekomych problemach z subskrypcją, nieudanej płatności lub aktywacji nowej usługi. W rzeczywistości ich celem jest wyłudzenie danych logowania oraz informacji o kartach płatniczych użytkowników.

Eksperci z CERT Polska ostrzegają, że oszuści wykorzystują wizerunek znanych serwisów streamingowych i przygotowują strony internetowe do złudzenia przypominające oficjalne panele logowania. Ofiara, która wpisze tam swoje dane, nieświadomie przekazuje je bezpośrednio cyberprzestępcom.

Czytaj więcej Uwaga na oszustów podszywających się pod platformy streamingowe

Agenci AI- pełna automatyzacja zadań czy zagrożenie dla poufnych bezpieczeństwa?

W roku 2026 tradycyjne chatboty, z którymi pisaliśmy na prostych czatach zostają zastępowane przez agentów AI- systemy, które nie tylko odpowiadają na pytania, ale potrafią działać w naszym imieniu. Według prognoz Deloitte, już za rok połowa firm korzystających ze sztucznej inteligencji udostępni nam takich autonomicznych pomocników.

Co potrafi agent AI w codziennym życiu?

Wyobraźmy sobie planowanie weekendu. Zamiast spędzać godziny na szukaniu biletów, rezerwowaniu noclegu i sprawdzaniu pogody, wydajemy jedno polecenie.

Nasz Agent AI Przeskanuje oferty przewoźników i kupi najtańszy bilet, sprawdzi prognozę pogody i zasugeruje, co spakować. Zarezerwuje stolik w restauracji, która pasuje do Twoich preferencji żywieniowych, a w przypadku opóźnienia pociągu, sam przebukuje rezerwację i powiadomi hotel.

Taka automatyzacja jest możliwa dzięki temu, że agenci posiadają „centrum kontroli”, które pozwala im korzystać z innych aplikacji, zarządzać kalendarzem, a nawet dokonywać płatności.

Czytaj więcej Agenci AI- pełna automatyzacja zadań czy zagrożenie dla poufnych bezpieczeństwa?

Fałszywy głos prezesa- jak w 2025 roku oszuści wyłudzali pieniądze przez telefon

W 2025 roku jednym z najszybciej rosnących zagrożeń w cyberbezpieczeństwie stały się oszustwa oparte na podrobionym głosie, które uderzają głównie w działy finansowe firm, a ich skuteczność polega na tym, że nie wymagają żadnego włamania do systemów ani infekowania komputerów. Przestępcy wykorzystują ogólnodostępne nagrania głosu prezesa, dyrektora lub właściciela firmy, na przykład z wywiadów, prezentacji lub krótkich filmów publikowanych w internecie, a następnie tworzą realistyczną imitację mowy, która brzmi niemal identycznie jak oryginał. Taki fałszywy głos jest wykorzystywany w krótkiej rozmowie telefonicznej, prowadzonej w starannie wybranym momencie, często pod koniec dnia pracy albo w trakcie chaosu organizacyjnego, gdy pracownik ma mniejszą skłonność do weryfikowania poleceń.

Czytaj więcej Fałszywy głos prezesa- jak w 2025 roku oszuści wyłudzali pieniądze przez telefon



ul. Namysłowska 8, IV piętro

(Centrum Biznesu Grafit)

50-304 Wrocław

NIP: 8971793846

REGON: 022287361

tel.: +48 71 777 90 32

faks: +48 71 798 44 90

e-mail: cui@cui.wroclaw.pl

ePUAP: /CUI/SkrytkaESP

Biuletyn Informacji Publicznej

Link otwiera się w nowej karcie przeglądarki.
Wróć na górę